Die Arbeit behandelt die Sicherheitstechniken welche beim Cloud Computing zum Einsatz kommen wie die Virtualisierung, Verschlüsselung sowie die Überwachung. Zusätzlich behandelt die Arbeit das BDSG sowie den Entwurf der EU-Datenschutzverordnung. Das Safe Harbor Abkommen und die Standardvertragsklauseln sind auch Teil der Arbeit
Inhaltsverzeichnis
1. EINLEITUNG
1.1 MOTIVATION
1.2 ZIELSETZUNG
1.3 AUFBAU DER ARBEIT
1.4 EINORDNUNG DES THEMAS IN DAS FACHGEBIET DER WIRTSCHAFTSINFORMATIK
2. GRUNDLAGEN DES CLOUD COMPUTINGS
2.1 DEFINITION
2.2 VOR- UND NACHTEILE
2.3 ARCHITEKTUREN
2.3.1 Public Cloud
2.3.2 Private Cloud
2.3.3 Hybrid Cloud
2.3.4 Zusammenfassung der Cloud-Architekturen
2.4 CLOUD SERVICEMODELLE
2.4.1 Infrastructure as a Service
2.4.2 Platform as a Service
2.4.3 Software as a Service
2.4.4 Zusammenfassung der Cloud Servicemodelle
2.5 JERICHO CUBE-MODELL
2.6 DER CLOUD CONTROLLER AM BEISPIEL VON EUCALYPTUS
3. SICHERHEITSTECHNIKEN
3.1 VIRTUALISIERUNG
3.1.1 Einsatzgebiet
3.1.2 Funktionsweise
3.1.3 Datenschutz
3.1.4 Technische Sicherheit
3.1.5 Stärken und Schwächen
3.2 SCHUTZ DES RECHENZENTRUMS
3.2.1 Verantwortung und deren Grundlagen
3.2.2 Datenschutz
3.2.3 Technische Sicherheit
3.2.4 Zusammenfassung
3.3 SCHUTZ DER CLOUD-INSTANZ
3.3.1 Einsatzgebiet
3.3.2 Verantwortung und deren Grundlagen
3.3.3 Datenschutz
3.3.4 Technische Sicherheit
3.3.5 Zusammenfassung
3.4 VERSCHLÜSSELUNGSSYSTEME
3.4.1 Funktionsweise
3.4.1.1 Symmetrische Verschlüsselung
3.4.1.2 Asymmetrische Verschlüsselung
3.4.1.3 Hybride Verschlüsselung
3.4.1.4 Zertifikate am Beispiel einer hierarchischen Public-Key-Infrastruktur (PKI)
3.4.2 Einsatzgebiet
3.4.2.1 Übertragungsverschlüsselung
3.4.2.2 Dateiverschlüsselung
3.4.3 Schlüsselmanagement
3.4.4 Zusammenfassung
4. ÜBERWACHUNG
4.1 MONITORING
4.1.1 Einsatzgebiet
4.1.2 Funktionsweise am Beispiel eines Netzwerkmanagementprotokolls
4.1.3 Sicherheit
4.1.4 Verantwortlichkeiten
4.2 AUDITING
4.2.1 Einsatzgebiet
4.2.2 Funktionsweise am Beispiel eines Netzwerkmanagementprotokolls
4.2.3 Sicherheit
4.2.4 Verantwortlichkeiten
4.3 ZUSAMMENFASSUNG
5. JURISTISCHE GRUNDLAGEN
5.1 UNTERNEHMENSFORMGEBUNDENE GESETZE
5.2 DAS BUNDESDATENSCHUTZGESETZ
5.3 GRUNDLAGEN INNERHALB DER EU
5.4 DATENVERARBEITUNG AUßERHALB DER EU
5.5 VERTRAGSGESTALTUNG
5.5.1 Checklisten
5.5.2 Service Level Agreements
5.6 CLOUD COMPLIANCE
5.7 ZUSAMMENFASSUNG
6. FAZIT
7. AUSBLICK
Zielsetzung & Themen
Die Arbeit untersucht die technischen und rechtlichen Rahmenbedingungen des Cloud Computings, mit besonderem Fokus auf Datenschutz, technischer Sicherheit und der Einhaltung gesetzlicher Vorgaben bei der Auftragsdatenverarbeitung. Ziel ist es, ein Verständnis für die Sicherheitsrisiken zu schaffen und Lösungsansätze zur rechtskonformen Nutzung von Cloud-Diensten aufzuzeigen.
- Technische Sicherheit im Rechenzentrum und in der Cloud-Instanz
- Datenschutzrechtliche Herausforderungen und gesetzliche Grundlagen (BDSG)
- Rolle der Virtualisierung als technisches Fundament
- Methoden der Überwachung (Monitoring & Auditing) zur Sicherheitsgarantie
- Vertragsgestaltung und Compliance-Anforderungen für Unternehmen
Auszug aus dem Buch
3.4.1.2 Asymmetrische Verschlüsselung
Das asymmetrische Verfahren, auch bekannt als Public-Key-Verfahren, beruht auf der Basis eines zusammengehörenden Schlüsselpaars.
Ein Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel. Der Vorteil gegenüber dem symmetrischen Verfahren ist, dass der öffentliche Schlüssel zwischen Sender und Empfänger auch über nicht verschlüsselte Medien übertragen werden kann, da mit diesem die Nachricht nicht entschlüsselt werden kann. Der öffentliche Schlüssel wird vor der Übertragung vom Empfänger an den Sender übergeben, damit dieser mit dem öffentlichen Schlüssel die Nachricht verschlüsseln kann. Der öffentliche Schlüssel kann nur zum Verschlüsseln genommen werden und der private nur zum Entschlüsseln.
Ein Nachteil dieses Verfahrens ist die Zuordnung der beiden Schlüssel zu einem Schlüsselpaar. Das Problem entsteht deshalb, weil es keine formale Bindung des öffentlichen Schlüssels an den privaten Schlüssel gibt. Das Problem der Zuordnung des Schlüsselpaares zueinander kann z.B. mithilfe eines Zertifikates einer vertrauenswürdigen Stelle gelöst werden. Die Lösung mithilfe von Zertifikaten wird in Kapitel 3.4.1.4 aufgezeigt.
Nachteile des asymmetrischen Verfahrens sind eine hohe Rechenzeit sowie ein erhöhter Aufwand gegenüber der symmetrischen Verschlüsselung. Der hohe Aufwand entsteht dadurch, dass für jeden Empfänger ein individuelles Schlüsselpaar generiert und dieses ausgetauscht wird. Des Weiteren nimmt die Verwaltung der Schlüsselpaare mit ansteigender Nutzeranzahl auch mehr Ressourcen in Anspruch.
Der wesentliche Vorteil des asymmetrischen Verfahrens ist die hohe Sicherheit durch die „Einweg“-Funktion der Schlüssel. Die „Einweg“-Funktion ist die Möglichkeit, dass die Schlüssel nur verschlüsseln bzw. entschlüsseln können und dadurch einem Angreifer nicht die Möglichkeit bieten, mit dem abgefangenen öffentlichen Schlüssel die Nachricht zu entschlüsseln.
Zusammenfassung der Kapitel
1. EINLEITUNG: Die Arbeit motiviert die Untersuchung von Cloud Computing angesichts hoher öffentlicher Relevanz und klärt die Forschungsfrage bezüglich Sicherheit und rechtlicher Anforderungen.
2. GRUNDLAGEN DES CLOUD COMPUTINGS: Dieses Kapitel erläutert die Definitionen, Architektur-Varianten (Public, Private, Hybrid) und Servicemodelle (IaaS, PaaS, SaaS) des Cloud Computings.
3. SICHERHEITSTECHNIKEN: Die Untersuchung behandelt Virtualisierung, physischen Rechenzentrumsschutz, den Schutz der Cloud-Instanz und verschiedene Verschlüsselungstechniken.
4. ÜBERWACHUNG: Es wird die Bedeutung von Monitoring und Auditing zur Überwachung von Systemen und zur Einhaltung von Sicherheitsvorgaben analysiert.
5. JURISTISCHE GRUNDLAGEN: Dieses Kapitel beleuchtet das Bundesdatenschutzgesetz (BDSG), EU-rechtliche Vorgaben und die spezifische Vertragsgestaltung bei der Auftragsdatenverarbeitung.
6. FAZIT: Das Fazit fasst zusammen, dass Cloud Computing zwar kein neues Konzept darstellt, aber spezifische neue Anforderungen an Sicherheit und Rechtskonformität mit sich bringt.
7. AUSBLICK: Der Ausblick diskutiert zukünftige Entwicklungen hinsichtlich EU-weiter Datenschutzverordnungen und die Notwendigkeit von Standards für die Interoperabilität zwischen Cloud-Anbietern.
Schlüsselwörter
Cloud Computing, IT-Sicherheit, Datenschutz, Virtualisierung, Public Cloud, Private Cloud, Hybrid Cloud, BDSG, Verschlüsselung, Monitoring, Auditing, Compliance, Service Level Agreement, Auftragsdatenverarbeitung, Cloud-Instanz.
Häufig gestellte Fragen
Worum geht es in dieser Diplomarbeit grundsätzlich?
Die Arbeit beschäftigt sich mit den sicherheitstechnischen und juristischen Rahmenbedingungen bei der Nutzung von Cloud-Computing-Diensten durch Unternehmen.
Welche zentralen Themenfelder werden behandelt?
Die Schwerpunkte liegen auf der technischen Absicherung von Cloud-Infrastrukturen, dem Datenschutz nach dem Bundesdatenschutzgesetz und der rechtssicheren Vertragsgestaltung.
Was ist das primäre Ziel der Arbeit?
Das Ziel ist es, Unternehmen dabei zu unterstützen, Cloud-Dienste sicher und gesetzeskonform zu nutzen, indem technische Schutzmaßnahmen und rechtliche Pflichten analysiert werden.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer Literaturanalyse sowie der Untersuchung von Leitfäden und Standards (wie BSI-Vorgaben) zur Absicherung von IT-Infrastrukturen.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die technologischen Grundlagen, die detaillierte Darstellung von Sicherheitstechniken, Methoden zur Überwachung (Monitoring/Auditing) sowie die juristische Aufarbeitung.
Welche Schlüsselwörter charakterisieren die Arbeit?
Cloud Computing, IT-Sicherheit, Datenschutz, Virtualisierung, Compliance und Vertragsgestaltung.
Wie spielt die Virtualisierung eine Rolle in der Sicherheit?
Die Virtualisierung bildet das Fundament für Cloud-Instanzen. Sie bietet durch Isolierung zusätzliche Schutzmöglichkeiten, bringt aber auch neue Anforderungen an das Patchmanagement mit sich.
Warum ist das Thema "Cloud Compliance" so wichtig?
Cloud Compliance stellt die nachweisbare Einhaltung rechtlicher Regeln sicher, was bei international agierenden Cloud-Anbietern für Unternehmen essenziell ist, um nicht gegen deutsches Recht zu verstoßen.
- Arbeit zitieren
- Timm Vollmer (Autor:in), 2012, Cloud Computing. Technische Sicherheit, Datenschutz und juristische Grundlagen aktueller Sicherheitstechniken, München, GRIN Verlag, https://www.grin.com/document/188722
